Was passiert eigentlich bei einer DDoS Attacke?

Grob vereinfacht wird das Zielsystem eines solchen DDoS-Angriffs mit an sich legitimen Anfragen überhäuft. Da sie in großer Zahl und kurzen Zeiträumen erfolgen, bricht das attackierte System unter der Last zusammen. Das kann bereits das Ziel der Angreifer gewesen sein. Statt der gewohnten Homepage sehen die Besucher der Seiten dann nichts, oder ein Cloud-Server ist nicht in der Lage, seine Aufgaben zu erfüllen. Die Attacke geht dann möglicherweise noch weiter, wenn die Hacker ausgehend von der Lücke im Netzwerk des Angegriffenen versuchen, sich in weitere Systeme einzuschleusen.

Unternehmen können zweifach Opfer solcher Attacken werden:

• Direkt: Ein System des Unternehmens ist tatsächlich das eigentliche Ziel der Attacke.
• Indirekt: Die Infrastruktur des Unternehmens dient als Plattform, um eine solche Attacke durchzuführen.

Um das Ziel eines Angriffs zu erreichen, bereiten die Hacker die Attacke zunächst häufig dadurch vor, dass in IT-Systemen eine großen Zahl von Programmen (Bots) versteckt werden. Diese beeinträchtigen das befallene System zunächst nicht, sondern warten getarnt auf ihre Aktivierung. Zu einem bestimmten Zeitpunkt übernehmen die Angreifer dann die Steuerung der befallenen Systeme, die erst dann die vorbereiteten Angriffsversuche auf das eigentliche Ziel durchführen.
Mit anderen Worten: Ein Unternehmen kann in das Visier einer solchen Attacke geraten, ohne im eigentlichen Sinne gemeint zu sein.

Als Ausgangsbasis für DDoS-Attacken dienen schon längst nicht mehr nur klassische PC oder Netzwerkkomponenten wie Router. Im Prinzip können alle technischen Komponenten, die über einen Internetzugriff verfügen, missbraucht werden. Das reicht von IP-basierten Kameras, geht weiter über Drucker bis zu IoT-Bausteinen, wie smarte Glühbirnen oder Thermostate. Die Kriminellen setzen gezielt entweder auf von den Herstellern selbst veröffentlichte, oder in Erfahrung
gebrachte Schwachstellen der Komponenten. Roboter durchkämmen das Netz auf der Suche nach den passenden Geräten und installieren die schädliche Software automatisiert darauf. Dieser Vorgang verläuft völlig unabhängig davon, ob ein Unternehmen für den Angreifer „attraktiv“ ist. Zum Zeitpunkt des Scannens nach Schwachstellen kennen die Kriminellen die Firma und deren Systeme gar nicht. Dieser erste Schritt kann gut mit dem „Gießkannenprinzip“ veranschaulicht werden. Die Suche erfolgt völlig wahllos – die Masse macht’s.

Im Rahmen Ihrer IT-Sicherheitsstrategie sollten Sie gegen solche Attacken aus mehreren Richtungen arbeiten:

• Schutz eigener Systeme wie Produktionsanlagen oder Netzwerkübergänge durch Firewalls und Load Balancer. Solche Lösungen werden auch teilweise kombiniert und dann als „Security Information and Event Management (SIEM)“ bezeichnet.
• Regelmäßige Updates aller technischen Einrichtungen auf aktuelle Versionsstände, d. h. zeitnahes Schließen von Sicherheitslücken durch die von den Herstellern angebotenen Patches.
• Ausmustern von Hardware, zu denen es von den Herstellern keine Patches mehr gibt.

Praxis Tipp:
Wenn Sie sich für eine Software entscheiden, recherchieren Sie im Vorfeld wie oft denn neue Patches oder Updates zur Verfügung gestellt werden. Manchmal gibt es auch Services, die sich regelmäßig um Updates kümmern.

Wir helfen Ihnen in der Flut von Anbietern und Services dabei, den Überblick über Ihre IT-Sicherheit zu behalten.

Tauschen Sie sich gerne mit uns aus